Active Directoryドメイン名がDNSドメイン階層に依存することはすでに述べた。つまりActive Directoryの導入ではDNSの環境が非常に重要になってくる。Active Directory導入時には、既存のDNS構造を確認し、DNSの構造をどのように変更していくかを検討しておく必要がある。例えば組織のDNSドメイン名として「example.co.jp」という正式なインターネットのドメインを取得して、メール・アドレスやWebサーバ(www.example.co.jp)などですでに利用しているとする。新たにActive Directoryを導入する場合にも、このような階層的なDNSドメイン名が必要となるが、具体的にはどのようなドメイン名を使えばよいのだろうか? ここではいくつかのパターンについて見ておこう。
Active Directoryドメイン導入の際に使われるDNSの階層構造としては、基本的には次のような3つのパターンが考えられる。
■パターン1――Active Directory用にサブ・ドメインを用意する
インターネット用の(公式な)ドメイン名のゾーンの下に、新しくActive Directory用のサブ・ドメインを作成し、そのサブ・ドメインの管理をActive Directory用のDNSサーバに委任する。インターネット向けのドメインの下に、社内のActive Directory向けのドメインが構築されることになるので、名前空間の連続性が高く、また社外向けと社内向けのドメインを簡単に区別することができる。
例えばインターネット向けのドメイン名が「△△△.co.jp」だとすると、新しく「ad」というサブ・ドメインを作成し、Active Directory向け(社内向け)のドメイン名を「ad.△△△.co.jp」とする。この結果、インターネット向けのサーバは「www.△△△.co.jp」や「mailgw.△△△.co.jp」という名前になり、社内向けのマシンは、「server.ad.△△△.co.jp」や「pc01.ad.△△△.co.jp」などとなる。
この構成では、Active DirectoryゾーンとほかのDNSゾーンを分離することができるため、インターネット向けのDNSの管理者とActive Directoryの管理者が異なるような場合に管理しやすくなる。また、既存のDNSの名前空間と連続した名前が定義されるため、混乱を避けることができる。ただし、Active Directory用のドメインは既存のDNSドメインのサブ・ドメインとなるため、少々名前空間が長くなってしまう。ドメイン名の先頭には、必ず(例えば)「ad.〜」というサブ・ドメイン名が付くため、管理者やユーザーにとってはやや煩わしいかもしれない。
■パターン2――同じドメイン名を使用する
インターネット用のドメイン名とActive Directory用のドメイン名を同じにし、それぞれに独立したDNSサーバを用意することもできる。管理者やユーザーにとっては、インターネット向けと同じドメイン階層にすることができるので、理解しやすいというメリットがある。
例えばインターネット向けのドメイン名が「△△△.co.jp」だとすると、Active Directory向け(社内向け)のドメイン名も同じ「△△△.co.jp」となる。この結果、インターネット向けのサーバは「www.△△△.co.jp」や「mailgw.△△△.co.jp」という名前になるが、同時に、社内向けのマシンも「server.△△△.co.jp」や「pc01.△△△.co.jp」などとなる(もちろん必要に応じてサブ・ドメインを作成してもよい)。
この構造では既存のインターネット向けのドメイン名をそのままActive Directoryでも使うため、ユーザーは複数のドメイン名を意識する必要がない(中間的なサブ・ドメインが不要なので、直感的に理解しやすい)。ただし、同じドメイン(DNSゾーン)に対して、インターネット用とActive Directory用の2つのDNSサーバが独立して存在することになるので、少し注意が必要である(パターン1や以下のパターン3では、各ドメイン/サブ・ドメインのゾーン情報を持つDNSサーバは1台しかないので、問題にはならない)。
通常、社内でユーザーが利用するコンピュータはActive Directoryドメインのメンバになるだろうから、各クライアントのTCP/IP設定では、Active Directory用のDNSサーバ(社内向けDNSサーバ)を優先DNSサーバとして設定する。しかし自社のWebサーバやメール・サーバなど(例:「www.example.co.jp」や「mail.example.co.jp」など)は、既存のインターネット向けのDNSサーバだけに登録されているだろうから、Active Directory用のDNSサーバに問い合わせても名前解決はできない。これでは、社内のユーザーが自社のWebサーバやメール・サーバなどへアクセスできなくなってしまう。
この問題を解決する1つの手段として、インターネット公開用のDNSレコードを、Active Directory用のDNSサーバにも登録してしまうという方法がある。そうすれば、どちらのDNSサーバを使っても、同じDNSレコード情報を得ることができる。ただしDNSレコードの情報を更新するときは、両方のDNSサーバで同じように変更しなければならないので、管理者にとっては少々面倒である。
■パターン3―異なるドメイン名を使用する
インターネット用ドメイン名と、Active Directory用ドメイン名をまったく異なるものにするという方法もある。
この構成では、Active DirectoryドメインとDNSドメインを明確に区分けすることができる。パターン2(同じドメイン名を使う方法)のような、DNSレコードの追加という作業は必要ないし、何らかの事情でドメイン名を変更しなければならなくなった場合でも、お互いのDNSサーバに対して独立して作業することができる。ただし、ユーザーは自分がアクセスするべきリソースがActive Directoryドメインのリソースなのか、既存のインターネット向けのDNSサーバで管理されているリソースなのかを把握して、アクセスする必要がある。例えばインターネット・メール・アドレスのドメイン名とローカルのネットワークのドメイン名が違っていると、ユーザーは混乱して間違ったドメイン名を指定してしまい(server.ad.localではなく、server.example.co.jpなどと指定して)、ネットワーク上のサーバにつながらない、などというトラブルが多発するかもしれない。
Active Directoryの導入チームとDNSの管理チームが異なる場合には、事前に打ち合わせをし、どこまで名前構造の変更が可能なのかを話し合っておく必要がある。Active Directoryの導入により、既存のDNS管理者の仕事が増えてしまうような場合には、作業を引き受けてもらえない場合もあるので、あらかじめきちんと話し合っておこう。
後編となる次回は、フォレスト構造やサイトの設計などについて解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.